レガシ Microsoft LAPS エミュレーションモードでの Windows LAPS の概要

[アーティクル]
04/05/2024

Windows ローカル管理者パスワードソリューション (Windows LAPS) を設定して、レガシ Microsoft LAPS グループポリシー設定を優先できますが、いくつかの制限があります。この機能は、"レガシ Microsoft LAPS エミュレーションモード" と呼ばれます。レガシ Microsoft LAPS の既存の展開を Windows LAPS に移行する場合は、エミュレーションモードを使用できます。

Microsoft LAPS と同様に、エミュレーションモードでは、クリアテキスト形式でのみ Windows Server Active Directory のパスワードの保存がサポートされます。セキュリティを強化するには、パスワード暗号化を利用できるように、Windows LAPS をネイティブに使用するように移行することをお勧めします。

セットアップと構成

レガシ Microsoft LAPS エミュレーションモードで Windows LAPS を構成する場合、Windows LAPS では、レガシ Microsoft LAPS を実行するように Windows Server Active Directory 環境が設定されていることを前提としています。レガシ Microsoft LAPS 構成の詳細については、レガシ Microsoft LAPS のドキュメントを参照してください。

要件と制限事項

レガシ Microsoft LAPS エミュレーションモードのサポートには、次の要件と制限が適用されます。

Windows LAPS では、レガシ Microsoft LAPS Windows Server Active Directory スキーマの追加はサポートされていません。

レガシ Microsoft LAPS スキーマ要素を使用して Windows Server Active Directory スキーマを拡張するには、ドメインコントローラーまたは別の管理クライアントにレガシ Microsoft LAPS をインストールする必要があります。スキーマを拡張するには、Update-AdmPwdADSchema コマンドレットを使用します。 Windows LAPS Update-LapsADSchema コマンドレットでは、レガシ Microsoft LAPS スキーマ要素は追加されません。
Windows LAPS では、レガシ Microsoft LAPS グループポリシー定義ファイルはインストールされません。

レガシ Microsoft LAPS グループポリシーを定義して管理するには、レガシ Microsoft LAPS をドメインコントローラーまたは別の管理クライアントにインストールする必要があります。
Windows LAPS では、レガシ Microsoft LAPS Active Directory アクセス制御リスト (ACL) の管理はサポートされていません。

レガシ Microsoft LAPS Windows Server Active Directory ACL を管理するには、レガシ Microsoft LAPS をドメインコントローラーまたは別の管理クライアントにインストールする必要があります。たとえば、Set-AdmPwdComputerSelfPermissions コマンドレットを使用します。
他の Windows LAPS ポリシーをマシンに適用することはできません。

Windows LAPS ポリシーがマシン上に存在する場合は、適用方法 (構成サービスプロバイダー、グループポリシーオブジェクト、または生のレジストリ変更) に関係なく、それが常に優先されます。 Windows LAPS ポリシーが存在する場合、レガシ Microsoft LAPS ポリシーは常に無視されます。詳細については、Windows LAPS のポリシー設定に関する記事を参照してください。
レガシ Microsoft LAPS をマシンにインストールすることはできません。

この制限により、Windows LAPS とレガシ Microsoft LAPS が同時に同じローカル管理者アカウントを管理しようとするシナリオが回避されます。 2 つのエンティティでの同じアカウントの管理はセキュリティ上のリスクがあり、サポートされていません。

エミュレーション機能では、レガシ Microsoft LAPS グループポリシーのクライアント側拡張機能 (CSE) がインストールされている場合、レガシ Microsoft LAPS がインストールされていると見なされます。拡張機能を検出するには、次のレジストリキーの DllName レジストリ値に対してクエリを実行します。

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{D76B9641-3288-4f75-942D-087DE603E3EA}

DllName 値が存在し、その値がディスク上のファイルを参照している場合 (ファイルが読み込まれていないか、検証されていない)、レガシ Microsoft LAPS がインストールされると見なされます。
Windows Server Active Directory ユーザーとコンピューターの管理コンソールでは、レガシ Microsoft LAPS スキーマ属性の読み取りまたは書き込みはサポートされていません。
Windows LAPS は、Windows Server Active Directory ドメインコントローラーで Windows LAPS が構成されている場合、レガシ Microsoft LAPS ポリシーを常に無視します。
レガシ LAPS でサポートされていないすべての Windows LAPS ポリシーノブは、既定で無効または既定の設定に設定されます。

たとえば、レガシ Microsoft LAPS エミュレーションモードで Windows LAPS を実行するときに、パスワードの暗号化や Microsoft Entra ID へのパスワードの保存などのタスクを実行するように Windows LAPS を構成することはできません。

これらの制約がすべて満たされている場合、Windows LAPS ではレガシ Microsoft LAPS のグループポリシー設定が優先されます。指定されたマネージドローカル管理者アカウントは、レガシ Microsoft LAPS での管理方法と同じ方法で管理されます。

レガシ Microsoft LAPS エミュレーションモードを無効にする

Windows LAPS には、レガシ Microsoft LAPS からのデプロイまたは移行を計画する際に注意する必要がある重要な違いがあります。デバイスが Microsoft Entra ID または Windows Server Active Directory のいずれかに参加すると、Windows LAPS は常に存在し、アクティブになります。レガシ Microsoft LAPS CSE のインストールは、多くの場合、レガシ Microsoft LAPS ポリシーが適用されるタイミングを制御するメカニズムとして使用されています。 Windows の組み込み機能として、Windows LAPS は、デバイスに適用されるとすぐに、レガシ Microsoft LAPS ポリシーの適用を開始します。このような即時の適用は、新しいオペレーティングシステムのセットアップおよび構成ワークフロー中に適用された場合などに、中断を招く可能性があります。

HKLM\Software\Microsoft\Windows\CurrentVersion\LAPS\Config キーの下に BackupDirectory という名前の REG_DWORD レジストリ値を作成し、値 0 に設定してレガシ Microsoft LAPS エミュレーションモードを無効にすることで、このような中断の可能性を回避することができます。この値を設定すると、レガシ Microsoft LAPS CSE がインストールされているかどうかを問わず、Windows LAPS はレガシ Microsoft LAPS エミュレーションモードになりません。この値は、一時的または永続的に使用できます。新しい Windows LAPS ポリシーを構成する場合は、その新しいポリシーが優先されます。 Windows LAPS ポリシーの優先順位の詳細については、「Windows LAPS のポリシー設定を構成する」を参照してください。

制限付きの管理サポート

Get-LapsADPassword コマンドレットは、レガシ Microsoft LAPS パスワード属性 (ms-Mcs-AdmPwd) の取得をサポートしています。結果の出力の Account と PasswordUpdateTime のフィールドは常に空白になります。次に例を示します。

PS C:\> Get-LapsADPassword -Identity lapsAD2 -AsPlainText

ComputerName        : LAPSAD2
DistinguishedName   : CN=LAPSAD2,OU=LapsTestOU,DC=laps,DC=com
Account             :
Password            : SV6[y1n3JG+3l8
PasswordUpdateTime  :
ExpirationTimestamp : 7/31/2022 12:43:10 PM
Source              : LegacyLapsCleartextPassword
DecryptionStatus    : NotApplicable
AuthorizedDecryptor : NotApplicable

Set-LapsADPasswordExpirationTime コマンドレットは、レガシ Microsoft LAPS のパスワード有効期限属性 (ms-Mcs-AdmPwdExpirationTime) の期限切れまたは変更をサポートしていません。

Windows Server Active Directory ユーザーとコンピューターの管理コンソールの Windows LAPS プロパティページでは、レガシ Microsoft LAPS 属性の表示または管理はサポートされていません。

ログ記録

Windows LAPS がレガシ Microsoft LAPS エミュレーションモードで実行されると、現在のポリシー構成の詳細を示す 10023 イベントがログに記録されます。

Microsoft LAPS 構成イベントログメッセージを示すイベントログのスクリーンショット。

それ以外の場合、レガシ Microsoft LAPS エミュレーションモードで実行されないときに Windows LAPS によってログに記録されるのと同じイベントも、それがレガシ Microsoft LAPS エミュレーションモードで実行されるときに記録されます。

こちらもご覧ください

この記事では、レガシ Microsoft LAPS の他の側面の管理については詳しく説明しません。詳細については、ダウンロードページのレガシ Microsoft LAPS のドキュメントを参照してください。

次の手順

Windows LAPS のデプロイと移行のシナリオを開始する

レガシ Microsoft LAPS エミュレーション モードでの Windows LAPS の概要